Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 11675 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Can't access local IIS on HTTPS (HTTP is ok)

Saesee
Hi,
I have a UTM 110/120 on version 9.107-33
I have a Windows Server 2012 R2 / IIS8 in my local network, protected by the SOPHOS.

In "Webserver protection" I created two real servers. one for http and an other for https.
The two are attached to a virtual server.

In Firewall, I created a rule in 1st place to authorize access from everywhere to my website.

All screenshots linked.

Well my actual state is this :
- SOPOHS User portal activated (for vpn program download).
- VPN (SSL) activated and configured with a "vpn.mydomain.com"
- IIS website configured with 'private.mydomain.com' on http and https on standard ports.
- If i go on "private.mydomain.com", I come on the home page without problem.
- If I try "private.mydomain.com", I'm redirected to the User Portal login... well thanks but I don't want it, I just want my website.

Thanks for help and say me if you need precisions.

My apologies for my poor english


This thread was automatically locked due to age.
  • 0
    Salut, Saesee, and welcome to the User BB!

    When using Webserver protection, you don't need the firewall rule.  I have several suggestions for you:
      Delete the "SRVDC IIS HTTPS" Real Server definition as the reverse-proxy can handle the SSL security to off-load that processing from IIS.  You must upload the correct certificate from your WinServer to the UTM though.
    • If that's not the way you have the IIS set up, then you still need to upload the certificate, adding it to your HTTPS Virtual Server, keep the HTTPS Real Server and add a separate Virtual Server for HTTP.
    • Use the DNS approach in UTM: Accessing Internal or DMZ servers from Internal Networks using DNAT
    • If your internal users are on the same LAN with the IIS, their traffic shouldn't pass through the UTM.  You will need a Firewall rule to allow the "WIFi Public (Network)" though.
    • If you want the users in "WiFI Public (Network)" to go through the reverse-proxy instead of a Firewall rule, you will need to add a Virtual Server (or two) to the "WiFi Public" interface.
    • Change the port for the User Portal to something else - I use 2443 instead of 443.


    An unwritten rule here is "one topic per thread," so please ask a question about configuring the SSL VPN in a new thread in that forum.

    Cheers - Bob
    PS Y'a pas de raison de demander de excuser ton anglais - il est parfaitement compréhensible.
  • 0 in reply to BAlfson
    Hi,
    Thanks for explains.

    • I've made two virtual servers (http and https) with two real servers (http and https).
    • User portal port changed
    • VPN port changed

    I think it work now but I got a 403 Forbidden on my webpage on https now (don't know if IIS or SOPHOS is in cause).

    I'm continuing to investigate it.

    Edit :
    I created the NAT like your link (see screenshot linked) it's ok ? don't understand really why i do that...
  • 0
    You can delete that DNAT.  I was suggesting that you have name resolution be different for the internal users - so that the FQDNs of your servers resolve to the internal, private IPs instead of the public IP on the External interface.

    403 Forbidden on my webpage on https

    Please show the corresponding line from the log file.

    Cheers - Bob
  • 0
    Ok, I delete the DNAT rule.
    What log do you want ? (and where to get it ?)

    Edit. I'v added the log of Webserver Protection. I've replaced reals IP and url.

    Edit 2 : I've tested a new liaison on https but on a local dns name. It work fine :/
    I really think that is the SOPHOS blocking the website.
  • 0
    2014:03:13-11:56:05 sophos-1 reverseproxy: [Thu Mar 13 11:56:05.875484 2014] [url_hardening:error] [pid 23566:tid 3888548720] [client 192.168.0.21:62641] Hostname in HTTP request (private.mydomain.com) does not match the server name (srvdc.lea.local)

    So, that makes me think that there's a name problem with the certificate: can you change the server name to private.mydomain.com?

    Cheers - Bob
  • 0 in reply to BAlfson
    I can't change the server name. It's ou AD, IIS, File share, print server...
    I've hope that if the server generate it's own certificate, it will be ok but apparently no :/
  • 0
    C'est une des raisons pour lesquelles je ne voulais utiliser qu'un serveur réel - un pour http.

    So, let's try this.  Don't use the https Real Server definition.  Have the https Virtual Server talk to the http Real Server.  Are there then errors?  If so, what do we see in the log file?

    Cheers - Bob
  • 0
    My configuration in attached files look ok for you ?

    If ok, I get a 403 forbidden too.
    I've added the log file
  • 0 in reply to Saesee
    Problem solved.
    All your configuration is goos.
    The only error was :

    I used the auto generated certificate from my IIS for sub.domain.com but the SOPHOS block it cuse it doesn't correspond to the server name/domain name.

    I had created a certificate from the SOPHOS, applied it to the virtual server and now it work good.

    Thanks.